- •Лабораторная работа 8. Разработка политики информационной безопасности
- •Общее содержание политики разрешения доступа к технологическим ресурсам.
- •Политика пользования электронной почтой
- •Общее содержание антивирусной политики.
- •По обмену электронными документами:
- •Что включает в себя политика серверной безопасности?
Лабораторная работа 8. Разработка политики информационной безопасности
Политика безопасности (информации в организации) (Organizational security policy) – это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
В дополнение к требованиям и рекомендациям стандартов, законам и иным руководящим документам приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких как: ISO 17799, ISO 9001, ISO 15408, BSI, COBIT, ITIL и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.
Эффективная информационная безопасность требует соответствующего участия персонала. Персонал ответственен за свои действия и, следовательно, отвечает за все события и последствия под своим идентификационным кодом пользователя (логин/пароль). Придерживаться политик и процедур доступа к сетям и системам – обязанность персонала. Доступ к любым внешним Интернет-сервисам от имени компании равно как и доступ с помощью посторонних ИТ ресурсов к бизнесу компании не компенсируется, не существует без обязательств, ответственности и согласия компании.
Общее содержание политики разрешения доступа к технологическим ресурсам.
Весь персонал, допущенный к работе с ИТ ресурсами компании, должен:
-иметь соответствующую компьютерную подготовку;
-пройти тестовый контроль и, при необходимости, обучение работе с корпоративными информационными системами;
-получить и иметь авторизованный доступ к выделенным ему ресурсам ;
-ознакомиться и соблюдать политики безопасности, установленные компании.
Службы по подбору персонала, руководители подразделений, отдел кадров, бухгалтерия и др. обязаны согласовывать любые действия по регламентированию, подбору, перемещению, увольнению вышеуказанного персонала с ИТ подразделением и его службой ИБ, строить свою работу с учетом настоящей политики.
ИТ подразделение обязано провести тестовый контроль каждого нового или перемещаемого сотрудника на возможность допуска к ИТ ресурсам компании, а в случае положительного решения провести следующие мероприятия по обеспечению доступа:
-ознакомить с политиками ИБ компании (под роспись);
-разъяснить структуру, состав и организацию информационной системы в рамках должностных обязанностей нового сотрудника;
-разъяснить пределы компьютерной самопомощи, после которой персонал может обращаться в службу поддержки HelpDesk;
-выделить ему информационные ресурсы и пространство, наделить (зарегистрировать, авторизовать) его идентификационным(и) номером (ами), паролем (ями), правами согласно Политике паролей;
-произвести настройки для пользования e-mail, Интернет и другими внешними ресурсами; выдать имеющиеся инструкции, распоряжения, руководства, касающиеся его будущей работы с ИТ ресурсами;
-у увольняемого сотрудника – принять ресурсы и дезактивировать его авторизацию.
Обслуживаемые ИТ подразделением технологические ресурсы должны быть настроены для аутентификации (идентификации и авторизации) конечных пользователей.
Обучение персонала работе с новыми приложениями может осуществляться с участием сторонних организаций.
При приеме на работу персонал должен быть инструктирован по вопросам режима в помещениях, хранения, обмена, подготовки бумажных/электронных документов, пользования факсом, междугородней и международной связью, а также по пожарной и электробезопасности.